CoinPostで今最も読まれています

アップデート未完了のノードがイーサリアムにもたらす脆弱性

画像はShutterstockのライセンス許諾により使用

イーサリアムでも進んでいないノードのアップデート
仮想通貨イーサリアムのネットワークにおいて多くのノードが最新版のソフトウェアクライアントであるParityかGethに更新していないことがセキュリティ企業SRLabsのレポートで判明。ノードのパッチ適用事情と詳細を解説する。

未だに残るアップデート未完了の「古い」ノード

2019年5月、SRLabs によるレポートにおいて、実に30%か40%のノードが攻撃に対し脆弱である、という状況が浮かび上がってきた。

背景について説明しておこう。

イーサリアム・ネットワークにアクセスするためのソフトウェアクライアントとして、現時点で一般的な選択肢は、Parity Ethereum(Parity)か Go Ethereum(Geth)だ。

今年の 2月、SRLabs により、Parity Ethereum クライアントのバージョン2.2.10以下で、Parity Ethereumノードをリモートでクラッシュさせる可能性がある脆弱性が報告された。

このクラッシュは、2つのノード間でチェーンを同期している間に、整数のオーバーフローが原因で発生しうる。すべてのノードは任意の接続要求を受け入れてメインネットワークとの同期を維持するため、攻撃者は イーサリアム・ネットワークにおいて、パッチが適用されていない Parity ノードをクラッシュさせることができる、というものだ。

Gethでも44%が未更新

Parity Ethereum では、ノードをスキャンした結果、15%が2月のパッチを未適用だったという。 さらに、3月2日にリリースされたバージョンについても同様に調査し、5月2日時点で30%でパッチが未適用だった。

さらに、7%は9か月間もパッチを当てていない。2018年7月にはテストネットの脆弱性がメインネットに波及する可能性が指摘され、コンセンサス形成に関する重大な脆弱性が修正されているが、これも適用されていない、ということだ。

また、イーサリアムの根幹をなすGethでも更新に関する問題は同様に観測されている。 2か月前にリリースされたセキュリティに関するクリティカルなアップデート、これが含まれないバージョンv.1.8.20 以前のノードが約44%も残っているのだ。

更新されない理由

Gethには自動更新の機能は存在しない。したがって約44%のGethノードが脆弱という報告は、アーキテクチャの設計そのものにおける問題と言い換えてもいい。

ただし、すべてのソフトウェアに自動更新を実装すべきかどうか、という点は議論の余地がある。CCleaner や ASUSのアップデートツールのように、アップデート機能を悪用される例も出てきているからだ。

加えて、Electrumのようにクリティカルなセキュリティアップデートを装った攻撃も確認されている。結局のところ、各自が少しずつ注意を払うしかないのが現状だろう。

Parity Ethereum には自動更新の仕組みがあるものの、スマートコントラクトに紐づけられているため、アップデートの適用は複雑な手順になりがちだ。

そして、すべてのノードが常に最新の状態にあるわけではない。したがって、常時起動せず、その時々で追いつきで処理しているノードなどがあった場合、自動では適用されない。

また、スマートコントラクトを利用しているという性質そのものが、そもそもアップデートプロセスを煩雑(はんざつ)にしているという指摘もある。迅速なアップデートが適用できない場合もある、ということだ。 Parity もセキュリティアラートを出してアップデートを促してはいるが、これも効果のほどは未知数だ。

攻撃は可能か?

詳細についてはハッシュレートの多数を占めるマイナーのバージョンを分析する必要がある。しかし、現実的には難しいはずだ。

ノードをクラッシュさせることができるなどの脆弱性は単体ノードにとっては致命的だが、ネットワーク全体で見た場合、単一ノードのクラッシュによる影響は微々たるものであり、他の攻撃手法と組み合わせない限り有用性は高くない。

ハッシュレートの過半はマイナープールが握っており、彼らが報酬のために正しく動作している限り、二重支出攻撃などを行うためのコストは非常に高いままだろう。

なお、仮想通貨情報統計サイトEtherscanで直近7日間のハッシュレートを見ると、上位4つのプールが75%を占めていることがお分かりいただけるだろう。

出典:Etherscan

まとめ

先日お伝えしたビットコインの事例と同様、イーサリアムでも脆弱なノードが放置されている実態が分かった。

ただちに問題につながるわけではないものの、コミュニティベースで運営されるという前提を考えると、早急な対応が望ましいだろう。 これをお読みになった読者各位におかれても、お手元でノードを運用されている場合、ご確認いただくことをお勧めする。

坪 和樹

Twitter:https://twitter.com/TSB_KZK

Linkedin:https://www.linkedin.com/in/tsubo/

プロフィール:AWSで働くエンジニア、アイルランド在住。MtGoxやThe DAO では被害を受けたが、ブロックチェーンのセキュリティに興味を持ち続けている。セキュリティカンファレンスでの講演、OWASP Japanの運営協力やMini Hardeningといったイベント立ち上げなど、コミュニティ活動も実績あり。

注目・速報 相場分析 動画解説 新着一覧
02/22 木曜日
16:00
スターテイル・ラボ、サムスンとシンガポール大手銀行UOBから資金調達
日本発のWeb3プロダクト、暗号資産(仮想通貨)ASTRのエコシステムAstar Networkを率いるスターテイル・ラボが、サムスンとUOBからのシード追加ラウンドで5億円を調達。渡辺創太CEOはプロダクト開発を加速の意向示す。
13:55
イーサリアム、ビットコインの年初来上昇率を上回る 現物ETF承認への期待感と集中リスクの懸念
時価総額2位の仮想通貨イーサリアムが、年初来の価格の上昇率でビットコインを上回った。米当局による先月のビットコイン現物ETF承認を受けて、イーサリアム現物ETFが承認される可能性が高いとの楽観的な見方がその一因となっている。
10:50
「流動性向上が鍵」Oasys、自民党デジタル社会推進本部と国内のWeb3振興で議論
ゲーム特化型ブロックチェーンOasysは自民党デジタル社会推進本部Web3PTと、ブロックチェーンゲーム市場の現状と将来性について議論を行った。
10:20
Oasys、カカオゲームズの子会社METABORA SGと提携
ゲーム特化型ブロックチェーンOasysは、韓国カカオゲームズの子会社METABORA SGとの提携を発表。韓国での事業展開を加速させていく意向だ。
08:15
エヌビディア好決算で株価大幅上昇 仮想通貨AI銘柄連れ高|22日金融短観
本日のエヌビディアの好決算を受け、半導体企業AMDやArm、Supermicroの株価も一斉に大幅に上昇。また、仮想通貨分野でRenderやFET、AGIXなども連れ高となっている。
07:30
国内初、楽天キャッシュでデジタル証券(ST)の利息受け取り
国内で初めて、楽天キャッシュで利息を受け取るデジタル証券(ST)が発行される。大和証券や楽天証券ら7社は、公募型ST社債の発行に向けて協業することを発表した。
06:30
Wormhole、半導体大手AMDのチップを利用し性能向上へ
仮想通貨ブリッジWormholeは性能を引き上げるために、半導体大手AMDのアクセラレーターチップを実装。ZKライトクライアントの計算消費を解決する目的だ。
05:50
Starknetがコインベースに新規上場、ポリゴンラボとも提携
Starknet開発のStarkWareはPolygon Labsと提携し、より速く且つ安く取引を行うために設計された「サークルSTARKs」と呼ばれる新しいタイプのゼロ知識の暗号証明を構築する。
02/21 水曜日
17:24
ラテンアメリカの大手通信会社テレフォニカ チェーンリンクと提携
大手通信会社テレフォニカが、分散型オラクルChainlinkと提携。API連携によりSIMスワップ詐欺に対抗する。開発者の暗号資産(仮想通貨)を保護する追加レイヤーとして機能。企業のWeb3進出の一助に。
15:02
決済業界が捉えるブロックチェーンの実利、リップル社調査
リップル社と米国高速決済協議会が世界的調査を実施。業界リーダーの60%強が、暗号資産(仮想通貨)の使用が決済プロセスにおいて大きな利益をもたらすと評価。金融業界における、ブロックチェーン技術の現状、課題も明らかに。
12:07
イーサリアム続伸で約2年ぶり3000ドル台に
暗号資産(仮想通貨)市場ではイーサリアム(ETH)が続伸し、22年4月以来初めて3000ドル台を回復した。オンチェーンデータ分析では、クジラ(大口投資家)の動向も活性化し始めているようだ。
12:00
仮想通貨支持のディートン弁護士、上院議員選出馬へ ウォーレン議員に対抗
仮想通貨を擁護する米国のディートン弁護士はマサチューセッツ州で上院議員選挙へ出馬した。エリザベス・ウォーレン議員の対抗馬を目指す。
11:00
マスターカードがSwooウォレットと提携、仮想通貨による報酬プログラム提供へ
決済大手マスターカードはモバイルウォレット企業Swooと提携し、ビットコインなど仮想通貨による顧客報酬プログラムを提供すると発表した。
10:24
ゴールドマン・サックス、日本株を代表する『七人の侍』を選定
日経平均株価が34年ぶりにバブル後の最高値をつける中、大手投資銀行ゴールドマンサックスは日本市場を代表する「七人の侍」を選定した。では、どの銘柄が採用されたか。
08:30
明日決算発表を前にエヌビディア大幅安、仮想通貨関連株も下落
米ナスダックはエヌビディアやAMDなどIT・ハイテク株の売り先行で下落。多くのアナリストはエヌビディアの決算のハードルは非常に高く引き上げられていると指摘した。一方、イーサリアムは約2年ぶりに3千ドル台を回復した。

通貨データ

グローバル情報
一覧
プロジェクト
アナウンス
上場/ペア